Tudo de que você precisa para se preparar para a Diretiva NIS2
Percorra o caminho à conformidade NIS2 com a Sophos
O que é a NIS2?Ela afeta você?
A Diretiva NIS2 entrou em vigor em janeiro de 2023, e os estados‑membros da União Europeia tiveram até 17 de outubro de 2024 para integrar os requisitos de segurança da NIS2 à legislação de seus países. A partir dessa data, todas as empresas sob o escopo da NIS2 devem assegurar o cumprimento dos requisitos atualizados.
O que há de novo na NIS2?
A NIS2 substitui a Diretiva NIS original que foi apresentada em 2016 e a qual foi a primeira legislação normativa em segurança cibernética a abranger toda a União Europeia. A NIS2 amplia o escopo da estrutura inicial de forma a incluir mais segmentos da indústria, introduz medidas de fiscalização mais rigorosas para as autoridades nacionais, coloca maior enfoque nas cadeias de suprimentos e estabelece sanções mais rigorosas e penalidades mais rigorosas no caso de não cumprimento.
A quem se aplica a NIS2?
Originalmente, a Diretiva NIS aplicava-se a organizações de infraestrutura crítica, consolidando em seus requisitos apenas sete setores da indústria como Operadores de serviços essenciais e três setores da indústria como Serviços digitais. A NIS2 expande significativamente esse escopo e passa a incluir 11 setores da indústria como Entidades essenciais e sete setores da indústria como Entidades importantes.
As Entidades essenciais estão sujeitas a um regime de fiscalização mais intenso, em que as conformidades ex-ante e ex-post são monitoradas, o que significa que as entidades terão que atender aos requisitos de fiscalização a partir da introdução da NIS2. As Entidades importantes estão sujeitas a uma forma mais leve de fiscalização, englobando apenas ex-post, o que significa que as medidas serão tomadas se e quando as autoridades receberem evidências do não cumprimento.
Uma organização é coberta pela Diretiva NIS2 se:
- A organização oferecer serviços ou atuar em qualquer dos estados‑membros da União Europeia
- Salvo exceções, a organização tiver no mínimo 50 funcionários ou um movimento anual ou balanço patrimonial de mais de 10 milhões de euros
- A organização operar em um dos 18 setores especificados pela NIS2 sob os Anexo I e Anexo II
A NIS2 identifica as organizações que operam nos 18 setores a seguir como entidades essenciais e entidades importantes de acordo com a receita anual total e o tamanho da organização:
*Entidades essenciais:
Em geral, são organizações de médio e grande porte consideradas vitais para a atividade econômica, e que operam nos setores relacionados na coluna à esquerda.
**Entidades importantes:
Em geral, são organizações de médio e grande porte consideradas importantes para a atividade econômica, mas não vitais, e que operam nos setores relacionados na coluna à direita.
Exceções: empresas que são fornecedoras únicas e exclusivas de um determinado serviço em um estado‑membro da União Europeia, ou que a interrupção dos serviços prestados por elas poderia ter um impacto significativo, podem ser classificadas como uma entidade essencial ou uma entidade importante independentemente do tamanho.
Critérios básicos para que uma organização seja considerada de grande porte:
- 250 funcionários ou mais, ou
- Movimento anual de 50 milhões de euros ou mais, e balanço patrimonial total de 43 milhões de euros ou mais
Critérios para que uma organização seja considerada de médio porte:
- 50 funcionários ou mais, ou
- Movimento anual e balanço patrimonial total de 10 milhões de euros ou mais
Organizações de pequeno porte ou microempresas não estão excetuadas do escopo da NIS2. Os estados‑membros podem estender os requisitos da NIS2 se uma entidade atender a critérios específicos em papéis fundamentais a atividades socias, econômicas ou setores ou tipos de serviços.
Penalidades pelo descumprimento da NIS2
A NIS2 introduz penalidades mais rigorosas às Entidades essenciais e Entidades importantes pelo não cumprimento dos requisitos de segurança ou por omitir-se em relatar incidentes. Embora as multas específicas possam variar de acordo com o estado‑membro, a NIS2 visa equilibrar as penalidades entre todos os estados-membros ao estabelecer uma lista de sanções administrativas mínimas. Os diferentes tipos de penalidades pelo não cumprimento incluem:
Penalidades não monetárias
A NIS2 dá mais poder às autoridades de fiscalização nacionais para supervisionar e impor a conformidade com recursos de remediação não monetários, incluindo:
- Atos jurídicos de conformidade (órgãos reguladores podem emitir uma ordem para implementar ações específicas)
- Instruções de cumprimento obrigatório (órgãos reguladores podem exigir que uma empresa tome medidas específicas)
- Obrigações de implementação de auditoria de segurança (ordens por órgãos reguladores para implementar uma medida de segurança)
- Obrigações de notificação de ameaça a clientes de entidades (nota pública de não conformidade)
- Proibições temporárias (ordens por órgãos reguladores proibindo que a gestão execute funções de gerenciamento)
Multas administrativas
- Para Entidades essenciais: patamar máximo de € 10.000.000 ou 2% da receita anual global, o que for mais alto.
- Para Entidades importantes: patamar máximo de € 7.000.000 ou 1,4% da receita anual global, o que for mais alto.
Responsabilidade pessoal para gerentes de Entidades essenciais e Entidades importantes
A NIS2 inclui novas medidas que permitem aos estados‑membros atribuir à gestão sênior (por exemplo, membros de conselho diretivo, diretores, executivos) de Entidades essenciais e Entidades importantes a responsabilidade civil pelas exigências da NIS2. Isso inclui exigir que a empresa leve a público as infrações de conformidade, declare publicamente a natureza da infração que ocorreu e as pessoas responsáveis pela falha, e suspenda temporariamente os indivíduos envolvidos de seus cargos de gestão. Além disso, os encarregados do gerenciamento podem arcar com a responsabilidade civil pelo exercício negligente no cumprimento de suas responsabilidades na gestão da segurança cibernética.
Atenda à conformidade da NIS2 com a Sophos
A conformidade com a NIS2 é uma oportunidade para as organizações fortalecerem sua postura de segurança e resiliência contra as ameaças cibernéticas, contribuindo para um cenário digital mais forte na União Europeia.
A Sophos pode ajudá-lo a atender aos requisitos da NIS2 com confiança. Nossa ampla capacidade nas questões da segurança cibernética pode ajudá-lo no cumprimento de requisitos‑chave da NIS2.
Sophos Endpoint | Sophos Firewall | Sophos MDR | Sophos XDR | |
Políticas sobre análises de risco | ||||
Tratamento de incidentes | ||||
Continuidade dos negócios | ||||
Segurança da cadeia de suprimentos | ||||
Garantia da segurança de sistemas de rede e informação, incluindo tratamento de vulnerabilidades e exposição | ||||
Avaliação da eficiência das medidas de gestão de risco de segurança cibernética | ||||
Políticas de uso de criptografia e cifragem | ||||
Segurança de recursos humanos, políticas de controle de acesso e gestão de ativos | ||||
Uso de autenticação multifator | ||||
Obrigações de notificação e informes |
Para saber mais sobre as soluções de segurança intuitivas da Sophos que podem auxiliá-lo no cumprimento da NIS2, baixe as Soluções Sophos para a NIS2.
Comparação da NIS2 com outras regulamentações de segurança cibernética
A NIS2 é apenas uma das muitas regulamentações em segurança cibernética que os operadores na União Europeia devem cumprir. Veja aqui a relação da Diretiva NIS2 com as outras estruturas e como elas se sobrepõem:
NIS2 | GDPR | DORA | CER | |
Diretiva EU | (EU) 2022/2555 | (EU) 2016/679 | (EU) 2022/2554 | (EU) 2022/2557 |
Nome da diretiva | Network and Information Security Directive 2 | General Data Protection Regulation | Digital Operational Resilience Act | Critical Entities Resilience Directive |
Escopo | Aplica-se a organizações que são Entidades essenciais e Entidades importantes; substitui a NIS1 (EU) 2016/1148. | Aplica-se a qualquer organização que processa os dados pessoais de indivíduos que vivem na União Europeia e no Espaço Econômico Europeu. | Aplica-se a todas as entidades financeiras na União Europeia. | Aplica-se a organizações que são consideradas vitais de acordo com a decisão do estado‑membro. |
Finalidade | Estipulada para aumentar a segurança cibernética e a resiliência dos sistemas de rede e informação em toda a União Europeia. | Protege os direitos fundamentais e a liberdade dos indivíduos, especificamente o direito à privacidade e à proteção de dados pessoais. | Além das exigências pertinentes à segurança cibernética, a diretiva coloca ênfase na resiliência geral das instituições financeiras. | Enfatiza a resiliência e continuidade dos negócios de Entidades críticas designadas no corpo da Diretiva e oferece orientação sobre defesas contra riscos não relacionados à cibernética. |
Status de conformidade com respeito à NIS2 | - | Organizações cobertas pela NIS2, que também são controladoras de dados ou processadoras de dados sob a EU GDPR, devem atender às Diretivas EU GDPR e EU NIS2. | DORA e NIS2 devem trabalhar em conjunto para fortalecer os requisitos de segurança cibernética; cada qual determina exigências distintas e ambas são aplicáveis a instituições financeiras. | As Entidades críticas também devem atender à NIS2 quando se trata de segurança cibernética e à diretiva CER nos incidentes não cibernéticos. |
Data efetiva | 17 de outubro de 2024 | 25 de maio de 2018 | 17 de janeiro de 2025 | 18 de outubro de 2024 |
Sanções | Inclui penalidades não monetárias (como atos jurídicos de conformidade), multas administrativas e sanções penais. Multas por não conformidade a Entidades essenciais podem chegar a 2% do movimento anual total em âmbito mundial ou a € 10 milhões (o que for mais elevado), enquanto que, para Entidades importantes, esse valor pode chegar a 1,4% do movimento anual total em âmbito mundial ou a € 7 milhões. | Infrações às disposições do GDPR podem incorrer em multas substanciais, incluindo até € 10 milhões, ou 2% do movimento global anual (primeiro patamar das penalidades monetárias), ou até € 20 milhões, ou 4% do movimento global anual (segundo patamar das penalidades monetárias), dependendo da natureza da infração. | Penalidades financeiras por violações à DORA podem ser impostas, mas o exato montante dependerá das disposições infringidas e da severidade da violação. Os órgãos reguladores também podem tomar outras medidas, incluindo avisos, restrições operacionais ou atos jurídicos que restrinjam as operações até que haja prova de conformidade. | As penalidades pela não conformidade variam por estado‑membro, mas espera‑se que incluam multas, notificação pública, correção e suspensão de autorização. |
Disclaimer: Specifications and descriptions are subject to change without notice. Sophos disclaims all warranties and guarantees regarding this information. The use of Sophos products alone does not comprise legal advice and does not guarantee legal compliance. The information in this document does not constitute legal advice. Customers are solely responsible for compliance with all laws and regulations and should consult their own legal counsel for advice regarding such compliance.
For more information on how to achieve your NIS 2 compliance goals before the deadline, contact us today.